后量子暗码搬迁研讨

发布时间：2025-04-27　点此：744次

量子核算技能对传统暗码算法安全性的要挟十分大。在量子核算模型下，公钥暗码将被破解，对称暗码和杂凑暗码的安全性将折半。研讨和运用反抗量子核算进犯的暗码技能日趋急迫，美国国家规范与技能研讨所（National Institute of Standards and Technology，NIST）于 2022 年 7 月遴选出 4 种拟规范化的候选算法。跟着算法规范化进程挨近结尾，后量子暗码搬迁活动被提上日程。就该范畴打开体系性研讨，概括总结干流的后量子暗码搬迁问题、计划、技能和办法等，并以政务云渠道体系进行后量子暗码搬迁为例进行论述，为后续的暗码运用搬迁供给参阅。

暗码技能是信息安全的核心技能，也是网络空间安全的柱石，而暗码技能的安全性依靠于暗码算法的安全性。跟着核算机运算功用的提高及暗码剖析技能的前进，特别是量子核算技能的展开，暗码算法的安全性遭到了严峻的应战。

量子核算（Quantum computing）是运用量子态的性质（如叠加原理和量子羁绊）来履行核算的一种新式技能。其间，量子核算机的展开十分敏捷，估计 5~15 年后，会对暗码算法将形成严峻要挟的有用量子核算机将被制造出来。由于量子核算机带来了运算算力的提高，量子算法（如 Shor 算法和Grover 算法）能下降破解传统暗码算法的核算难度，使得破解传统的公钥暗码算法（如 SM2、SM9 等）成为或许，特别是依据大数因子分化问题和离散对数问题的暗码算法易被破解，此外，破解对称暗码算法和杂凑暗码算法的时刻消耗会大约降为本来所需的一半。

为了应对量子核算技能的要挟，后量子暗码应运而生。后量子暗码是在经典核算机上运转的、能反抗量子核算进犯及经典核算进犯的暗码算法和暗码协议。现在，人们评论最广泛的是公钥暗码算法。

美国主导了后量子公钥暗码算法规范化的进程。美国国家规范与技能研讨所（National Institute of Standards and Technology，NIST）在 2016年面向全球启动了搜集后量子公钥暗码算法的活动，得到了世界暗码学界的广泛呼应，共搜集到 69份算法计划。历时 6 年多，经过了 3 轮的评价，于2022 年 7 月确认了 4 种拟规范化的后量子暗码算法，分别为密钥封装机制 Crystals-Kyber、数字签名算法Crystals-Dilithium、Falcon 和 Sphincs+，一起确认了位翻转密钥封装（Bit Flipping Key Encapsulation，BIKE）、Classic McEliece 和汉明准循环（Hamming Quasi-Cyclic，HQC）这 3 种密钥封装机制进入第 4轮评价。NIST 计划于 2023 年发布后量子公钥暗码算法规范草案以寻求大众定见，并于 2024 年公布正式规范。

为了有用处理传统暗码算法面临的量子计算攻击的安全威胁，同时考虑“ 先收集，后破解 ”（Store-Now-Decrypt-Later，SNDL）潜在进犯的长时性及全套暗码算法（包含公钥暗码算法、对称密码算法和杂凑密码算法）替换的时刻（数十年），使用传统密码技术的信息技术（Information Technology，IT）和操作技能（Operation Technology，OT）体系需求赶快切换运用后量子暗码技能，这项作业被称为后量子暗码搬迁。

遭到量子核算安全要挟的 IT 和 OT 体系首要包含：

（1）体系的安全性依靠于量子不安全的暗码算法；

（2）体系的安全性依靠于以量子不安全的密码算法构建的暗码协议；

（3）体系的安全性一起依靠于上述两者。一般地，现在广泛运用的暗码算法大多数是量子不安全的，仅有少数的算法如 AES-256、SHA-512 等可被以为是量子安全的。后量子暗码搬迁不仅仅是替换暗码算法，它还包含将暗码协议、暗码计划、暗码组件、暗码根底设备等更新为量子安全的暗码技能，乃至还包含暗码体系的灵敏更新机制的才干构建及暗码运用信息体系的迭代更新等。

现在传统的（量子不安全）暗码技能现已广泛运用和布置，进行后量子暗码搬迁的作业量很大。当然，人们希望在搬迁时对现有体系的改动量越少越好，但这个需求完结起来并不简略。后量子暗码技能比较于传统暗码技能，其公钥暗码算法在密钥尺度和密文尺度等方面要大几倍到几十倍，别的一些后量子公钥暗码算法速度十分慢，且十分消耗运算资源。因而，人们正尽力在各种暗码运用体系中测验运用后量子暗码算法，特别是在通讯协议和公钥根底设备（Public Key Infrastructure，PKI）体系中，并探究相关问题的处理办法和思路，希望在不久的将来能够平稳过渡到后量子暗码。

本文第 1 节介绍后量子暗码搬迁的一些重要问题及相关处理思路，第 2 节介绍后量子暗码搬迁或许用到的一些有价值的技能，第 3 节介绍政务云渠道体系的后量子暗码搬迁，第 4 节对我国后量子暗码搬迁提出主张，终究进行概括总结。

搬迁问题及处理思路

后量子暗码搬迁面临许多技能、规范化及工程运用方面的问题，下面就这些问题做简略讨论，并供给一些处理思路。

1.1　技能困难

传统暗码算法与后量子暗码算法，特别是公钥暗码算法，在算法参数尺度、运算功率、算法机制等方面存在较大差异，不能简略地直接将传统暗码算法替换成后量子暗码算法。传统公钥暗码算法，如 SM2，供给加解密、签名验签、密钥洽谈等功用；公、私钥长度为 64 字节和 32 字节，加密数据长度为恣意字节，密文长度较明文数据长度添加 96 字节；签名原文数据长度恣意，经过杂凑后进行签名，签名效果长度为 64 字节；可与 Diffie-Hellman 算法结合进行密钥洽谈。但单种后量子暗码算法不能供给全面的运算功用，可将它们可分为两类：一类为密钥封装算法，如 Kyber768，供给加解密、密钥封装等功用，公、私钥长度为 1 184 字节和 2 400 字节，密钥封装功用原文数据长度为 32 字节，封装密文长度为 1 088 字节，不行与 Diffie-Hellman 算法结协作密钥洽谈；另一类是签名算法，如 Dilithium3，仅供给签名验签功用，公、私钥长度为 1 952 字节和 4 000 字节，签名长度为 3 293 字节。在运算速度上，部分后量子公钥暗码算法较 SM2 算法更快，如 Kyber768 使用高级向量扩展（Advanced Vector Extensions，AVX）并行指令优化后较 SM2 快 10倍左右，另一些后量子公钥暗码算法较 SM2 慢许多，如 Sphincs+ 的签名速度是 SM2 的约千分之一。表 1 列出了部分比照效果，其间，* 表明运用 CPUAVX2 加速，在 I5 1135G7 2 核 CPU 上测试；LAC是我国学者提出的密钥封装算法。

别的，后量子公钥暗码算法品种特别多，现在没有一种算法能像 SM2 算法这样通用，因而，在不同的运用场景下，需求选用不同的后量子公钥暗码算法，而算法的挑选和互通性会给搬迁带来不小的应战。

处理的办法和思路能够从两方面考虑：一是加大算法理论和完结的研讨，增大算法及相关技能的储藏，为搬迁供给更多更优的候选算法；二是结合详细的运用场景，发掘立异式运用办法，加强暗码灵敏性研讨，防止暗码算法和暗码技能在体系中固化，为后续新暗码算法、暗码算法参数和暗码技能的切换更新供给才干确保。

表 1 SM2 算法与后量子密钥封装机制的比照

1.2 　规范化推行

迄今为止，后量子公钥暗码算法中只要扩展默克签名（eXtended Merkle Signature Scheme，XMSS）和依据 Leighton-Micali 哈希的签名（Leighton-Micali Hash-Based Signatures，LMS）这两种依据杂凑的暗码算法在 RFC 体系中完结规范化，但这两种算法的运用十分受限，只能用于签名总次数特别少的场景中，如设备晋级。量子安全的对称暗码算法 AES-256 和杂凑暗码算法 SHA2-512、SHA3-512 现已规范化，但这些都是世界算法，我国的后量子公钥暗码算法、对称暗码算法和杂凑暗码算法没有一个完结规范化，不能为运用供给支撑。但可喜的是，我国量子安全的暗码算法规范化的作业正加速推进，如依据 SM3 算法的后量子公钥暗码算法、量子安全的 ZUC-256 对称暗码算法等现已提上规范化日程。

处理我国后量子暗码算法缺失问题的办法和思路分为两个方面：一是加速推进后量子暗码算法簇的规范化作业，特别是前期的技能研讨衬托，一起可学习和引证世界上后量子范畴内的技能规范；二是大力鼓舞国内学术团体及工业单位等进行广泛的后量子暗码算法和技能的试验性运用，为暗码算法和技能的规范化供给主张和参阅。

1.3　传统暗码技能了解

IT 和 OT 体系已广泛运用传统暗码技能来确保其安全，从底层的硬件芯片、板卡、操作体系到上层的运用、服务都能够看到传统暗码技能的身影。可是在不同的信息体系暗码运用场景下，传统暗码技能的运用办法却是千差万别，如有的运用了规范的算法、协议和流程，有的则进行了定制化更新和修正；有的运用公钥暗码算法来进行身份辨别，有的则运用对称暗码算法来进行；有的运用 SM3 杂凑算法来确保完整性，有的则运用 SM3-HMAC 算法来确保完整性，等等。不但暗码算法运用办法改变无常，密钥的运用也改变多端。密钥安满是暗码算法安全的根底，密钥安全的需求是确保其全生命周期的安全，有的体系运用内建的密钥办理机制，更多的体系则运用杂乱的密钥办理体系。在后量子暗码搬迁前，需求对 IT 和 OT 体系运用到的暗码技能进行了解和评价，找到搬迁的暗码财物、搬迁体系的详细位置等，并进行作业量评价，便利进行搬迁计划拟定和施行。

传统暗码技能了解可运用查询拜访的办法，或结合运用自动化的暗码检测东西。查询拜访一般选用填写查询问卷表的办法进行，而自动化的暗码检测东西则需凭借一些智能化的东西和技能，静态和动态地盯梢监测暗码技能的运用。查询拜访在某些场景下施行起来有必定难度，且功率和准确性难以确保，而结合自动化的检测东西则可到达更抱负的作用。可是，现在缺少相应的暗码检测东西套件，需求加大这方面的研制力度。

1.4 　旧体系改造

依据传统暗码技能建造的且正在运转并发挥密码运用功用的 IT 和 OT 体系称为旧体系。旧体系是后量子暗码搬迁的首要方针，需求对其间的暗码技能进行替换晋级改造，但程序杂乱且耗时，并且状况各异，需求详细状况详细剖析。某些旧体系维护的数据财物，其保密时限不长，如两三年，或其数据财物价值不高，其价值还没有后量子暗码搬迁花费的本钱高，则能够不进行后量子暗码的搬迁。

某些旧体系进行后量子暗码搬迁的全体价值太高，超过了用户可接受的规模，也没必要进行。某些体系比较巨大，在进行体系安全性评价后，能够只进行部分后量子暗码搬迁，其他部分选用别的的办法（如物理网络阻隔等）来确保其安全。总归，在搬迁前，需求对旧体系进行专业的体系安全性评价，依据评价定论选用不同的搬迁战略，一起应尽量削减后量子暗码对 IT 和 OT 体系的侵入。

假如旧体系有必要进行后量子暗码搬迁，需求考虑暗码灵敏性的规划和完结。旧体系一般缺少这方面考虑，此刻暗码技能的替换晋级变为整个体系的替换晋级，如银行范畴中的发卡体系，由于原有体系跟暗码技能深度交融，当运用国密技能来替换旧的世界暗码技能时，只能进行整个体系的晋级和重建。

1.5　新建体系

比较旧体系改造，新建 IT 和 OT 体系面临的限制条件就少得多，但新建体系依然需求依据本身实践状况选用适宜的后量子暗码技能。在查询选用后量子暗码技能时，一般需求专业的暗码技能咨询，特别是对后量子暗码技能比较生疏的体系承建方。

全体而言，新建体系首先应考虑后量子暗码规范组织引荐的暗码算法和暗码技能；其次依据本身实践状况和专家的定见，选用适宜的暗码算法、协议和计划等；终究要考虑暗码的灵敏性规划，为将来的暗码技能替换晋级预留满足的空间。

２

搬迁技能

后量子暗码搬迁运用的技能是一个品种繁复的大家族，现在仍在不断完善和弥补，比较盛行的技能包含算法混合运用、算法替换运用和灵敏性规划等。

2.1　算法混合

暗码算法混合运用首要针对公钥暗码算法，它是指将传统公钥暗码算法与后量子公钥暗码算法混合运用，如将 SM2 算法和 Dilithium2 混合运用进行两层认证，使暗码体系的安全强度不低于传统公钥暗码算法，且具有反抗量子核算进犯的才干。运用算法混合的另一个优点是它遵从了当时的暗码产品规范和检测规范，能够获得当时的暗码产品认证。

暗码算法混合运用首要包含混合密钥洽谈和两层签名两种办法。

（1）混合密钥洽谈。传统公钥暗码算法依然运用 Diffie-Hellman 进行密钥洽谈，一起参加后量子公钥暗码算法的密钥封装功用，得到两部分洽谈出的密钥中心值，再将中心值作异或等处理得到终究的会话洽谈密钥。

（2）两层签名。如图 1 所示，运用传统公钥暗码算法对音讯进行签名后，再运用后量子公钥暗码算法对音讯等（可包含传统暗码签名效果）签名，输出两次签名效果的组合，或许互换签名次第，先进行后量子公钥暗码算法签名，再进行传统公钥密码算法签名，验证时只要两段签名效果都验证成功，才以为验证成功。

图 1　两层签名混合签名原理

2.2　算法替换

算法替换是指将一种算法或算法运用办法变成另一种算法或算法运用办法，如将对称暗码算法的电码本（Electronic Codebook，ECB）运算办法换成密文分组链接（Cipher Block Chaining，CBC）运算办法。在网络通讯协议中，身份辨别是必不行少的功用，一般的身份辨别是经过公钥暗码算法的签名验签功用来完结，可是后量子暗码算法签名效果特别长（最大到几兆字节），选用后量子密钥封装功用来替代签名完结身份辨别也是可行的，且密钥封装密文的长度少得多，只要 2 000 字节左右。

2.3　灵敏性规划

暗码灵敏性（或敏捷性）规划是指在对 IT 和OT 体系不做修正或做很少修正的状况下完结对暗码算法、暗码参数、暗码技能等的切换晋级，即体系规划时需求考虑暗码技能的更新换代，使体系具有灵敏的自我暗码更新才干。

灵敏性是软件开发范畴的一个首要方针，而后量子暗码搬迁将灵敏性与暗码技能进行结合，带来了新的暗码技能结构和结构。暗码灵敏性规划包含几个层次：在暗码技能规范上，除算法外的规范应考虑支撑不同的暗码算法和暗码协议，为新的暗码技能预留兼容空间；在工程完结上，可选用适宜的暗码笼统层和依靠倒置的规划思维，以最大极限地削减由后续暗码技能改变引起的再次搬迁的作业量。

３

搬迁运用场景研讨

对独立的 IT 和 OT 体系来说，后量子暗码搬迁需求确保体系内部子体系间交互功用正常有序，并依照设定好的次第，对子体系进行逐个晋级改造，终究整合验证即可。可是，关于通讯交互的多个体系来说，则需求考虑体系间通讯的兼容性及搬迁工程开展的协调一致，这要求在全体上进行统一规划和布置，进程操控愈加严厉。下面以政务云渠道体系为例进行搬迁规划及计划的阐明。图 2 是政务云暗码运用的典型架构，政务云渠道体系供给暗码服务、办理服务及态势感知服务等功用，从上到下分为暗码运用层、暗码服务层、暗码支撑层、网络层和暗码设备层 5 层。图中，字体加粗处模块需求进行后量子暗码搬迁，箭头表明数据传输通道。

图 2　政务云暗码运用典型架构

3.1　根底设备

如图 2 所示，在进行后量子暗码搬迁时，需求在暗码支撑层和暗码设备层装备具有后量子暗码功用的设备资源，才干对上层供给后量子暗码服务，这些设备资源称为后量子暗码搬迁的根底设备。

搬迁根底设备包含硬件设备、软件设备及软硬结合的支撑体系等。在政务云暗码服务渠道体系中，硬件设备包含供给后量子暗码功用的云服务器暗码机、SSL VPN、IPSec VPN、安全网关等；软件设备包含后量子暗码算法软库、协议软库等；软硬结合的支撑体系包含后量子证书体系、密钥办理体系、数据加解密服务体系、电子文件验证体系等。

由于国内的后量子暗码算法规范仍未公布，在进行搬迁时，能够先运用 NIST 引荐的后量子暗码算法。

国内后量子暗码相关的硬件设备十分匮乏，主要是由于硬件设备需求经过国家主管部门的检测认证才可上市出售，而国内不具有判定测评后量子暗码功用的条件，因而，硬件设备只能选用定制化的办法来获取。在要求不高的状况下，能够运用软件设备来替代。

后量子暗码软件设备展开十分快，现在已有liboqs、libpqcrypto、PQClean 等开源软件算法库，它们集成完结了干流的后量子公钥暗码算法。可是这些开源软件库发布的时刻较短，运用面不广，并且或许存在安全性、稳定性等方面的问题，作为搬迁试验运用没有问题，但假如作为产品部件运用在暗码运用体系中是不适宜的，这需求凭借专业的暗码产品供给商的协助。

软硬结合的支撑体系则面临硬件设备匮乏和软件设备安全性、稳定性较低一级问题，需求处理的困难更多。

3.2　全体规划

后量子暗码搬迁的全体规划是对搬迁活动的工作进程、开展组织、资源投入等进行通盘的考虑和布局。对政务云渠道体系进行后量子暗码搬迁的首要作业是暗码服务层、暗码支撑层和暗码设备层的搬迁，需求确保对暗码运用层的改造尽量少。基层的暗码设备层需求添加后量子暗码技能功用，完结暗码设备的替换更新即可，但它是暗码服务层和暗码支撑层功用的依靠项，需求优先进行，完结后再对暗码支撑层和暗码服务层作替换搬迁，终究再依据运用层对暗码服务层的调用依靠状况进行搬迁。

一起，暗码办理服务和态势感知服务的部分功用也会进行后量子暗码搬迁。

别的，对该暗码服务渠道的搬迁需求预估全体的作业量，拟定搬迁项目预算，组织适宜的人力、物力资源等，并指定项目负责人，拟定开始的开展组织等。

3.3　体系调研

后量子暗码搬迁项目施行的第一步是对暗码应用体系进行调研，确认哪些数据作为重要财物需求得到后量子暗码的维护，体系中运用了哪些传统的暗码算法和技能，身份认证联系怎样构建，体系中的密钥怎么维护和运用等。

在政务云渠道体系中，调研能够依照调用层次联系，从上到下逐层查询用到的暗码技能及功用服务交互的接口。暗码服务层及以下的暗码支撑层和暗码设备层首要由云暗码服务渠道供给，参阅渠道相关技能文档就能够完结，但暗码运用层的调研比较杂乱，一方面由于事务运用较多，另一方面事务运用调用云暗码服务渠道的办法或许存在较大差异。别的，调研时还需重视事务体系的非功用需求和约束条件，由于后量子暗码技能或许对事务体系形成影响，如使得暗码参数尺度变大。

3.4　计划拟定及证明

依据体系调研陈述拟定开始的搬迁计划，确认搬迁优先级及进程，再经过剖析证明，得到可行有用的搬迁计划。

政务云渠道体系的后量子暗码搬迁计划中应包括如下内容：

（1）确认基层的暗码服务渠道需求悉数搬迁到后量子暗码技能上来，一起保存曾经的一切暗码服务功用及交互接口，而上层事务体系分阶段进行搬迁，先搬迁对数据维护或身份辨别等安全功用要求高、价值高的体系。

（2）确认搬迁需求用到的新资源和新技能等，在原有体系架构中进行弥补。由于后量子暗码数据加密和认证功用运算速度变慢，所以需求依据事务量负载需求状况考虑是否添加云服务器暗码机等资源。

（3）界说各交互层后量子暗码技能的交互接口，基层完结后量子暗码技能的详细功用，上层完结调用，一起考虑暗码灵敏性，如选用依靠倒置的面向方针规划思维。别的，还需考虑兼容性需求等，由于运用体系搬迁是分阶段完结的，需求确保未搬迁的事务体系仍能正常作业。

（4）依照各层依靠联系，拟定搬迁次第和进程，从下到上逐层进行，并拟定测验验证计划，确保各层能独登时验证各层后量子暗码相关功用。

（5）预估搬迁危险，拟定危险应对办法等。

3.5　施行及验证

遵循后量子暗码搬迁计划施行搬迁，在正式的搬迁施行之前，或许还需求做一些试验性的搬迁演练。施行时进行搬迁作业包拆分，指定责任人，进行开展操控、本钱操控等，一起对搬迁计划不明确的当地进行细化完善。

搬迁施行进程中和完结后都需求测验验证，政务云渠道体系按逻辑层进行分步搬迁，需求验证每层的独立暗码功用，一起验证各层整合在一起后的暗码功用和事务功用是否正常。测验验证完结后可在小规模试运转，试运转必定时刻（如 1 年）后，再依据体系实践运转状况，决议是否正式运转并进行政务云渠道体系中其他事务体系的后量子暗码搬迁。

４

国内搬迁主张

4.1　堆集技能和经历

在算法理论剖析方面，国内的后量子暗码算法已有必定的堆集，其间依据格理论技能道路的居多，但广度和深度仍需加强，其他的技能道路研讨较少，效果也不多，需求进行更多的研讨并堆集经历，特别是为规划和规范化我国的后量子暗码算法作预备。在工程运用方面，能够借用 NIST 引荐的后量子暗码算法进行工程运用试验，树立试验原型和结构，并当令地展开部分的运用试点，加强运用方面的堆集，为我国后量子暗码工业化供给事例和辅导。

4.2　算法规范化

国内后量子暗码算法规范化全体开展缓慢，需要国家暗码主管部门统筹规划，加速推进规范化进程，并当令推出规范化的国产后量子暗码算法。

4.3　提早规划和布局

我国的后量子暗码搬迁需求提早进行规划和布局，尽管国内重要职业的商密改造正在进行，但在前期完结改造的金融范畴现已运转了五六年时刻，但在面临量子核算要挟，特别是在量子核算技能以摩尔定律高速展开的布景下，传统暗码技能的安全性随时都或许坍塌，因而做好预备、未雨绸缪十分有必要。实践上，后量子暗码搬迁现已十分急迫，由于它是一个长时刻且花费巨大的工程，跟着科技的前进，未来有用的量子核算机的呈现时刻或许早于预期，且不必定被揭露，所以需求尽早进行布局，做到未雨绸缪。

4.4　协同协作

后量子暗码是较新的技能，触及面广且杂乱，短期内不简略获得突破性开展，但后量子暗码搬迁时刻急迫，因而需求会集我国暗码学界中的产、学、研、管等力气，协同协作，一起推进国内后量子暗码技能的展开。

５

结　语

量子核算技能带来了对传统暗码技能的安全威胁，也促进了暗码技能的改造，后量子暗码是改造路上的一个典型代表，它是一类新式的暗码技能，与以往的一切暗码技能有类似点，也有不同之处。这是科学技能前进的必然挑选，即便大规模运用的量子核算机不呈现，暗码技能的自我修正、自我完善的机制也将不断进行，后量子暗码仅仅碰巧在这个时刻阶段呈现在人们面前。

后量子暗码带来了新的暗码算法和暗码运用模式，在进行后量子暗码搬迁进程中，必然会呈现更多的搬迁立异办法和思路，一起，搬迁实践将会进一步推进后量子暗码技能的展开。

面临后量子暗码搬迁中的问题和困惑，需求结合实际运用场景，不断测验，当心验证，经过运用实践来堆集后量子暗码搬迁的经历，为将来更快、更好地搬迁打下根底。

告发/反应